数字化转型下的人民银行金融数据安全体系建设

段晓伟

（中国人民银行昆明中心支行 云南省昆明市 650031）

1 背景

2018年习近平总书记在给中国国际大数据博览会的贺信中提到，要掌握好大数据发展的重要时机，推动产业告诉全面发展，协调好数据安全性、网络空间治理等方面的关系。人民银行作为金融监管部门,掌握了海量的金融数据，伴随近年来信息技术迅猛发展，金融数据更是进入了爆发式增长的新阶段，呈现出越来越大的价值和应用潜力。人民银行总行提出了建设“数字央行”的总体战略规划，通过金融数据治理提升数据质量，促进数据共享和价值挖掘，推动人民银行数字化转型。伴随着数据治理工作的深入开展，如何构建新的数据安全防护体系保障数据在传输、集中存储和挖掘应用过程中的安全，成为了一个迫切需要解决的新问题。

2 当前人民银行在金融数据安全领域面临的风险与挑战

2.1 缺乏数据资产盘点

人民银行经过多年的信息化建设，形成了众多业务系统，在建设过程中各业务系统的建设一直采用“数据跟着系统走，系统跟着业务条线走”的模式，由各系统使用部门对数据进行管理，以此同时各系统因开发时间、业务架构的差异导致业务数据存在数据标准不统一，数据交叉冗余的情况。目前人民银行内部还未有对口部门牵头开展数据资产的全面盘点，没有相对详细全面的数据资产目录。

2.2 数据分类分级防护需求愈加迫切

由于人民银行掌握的金融数据种类众多，每种数据的数据类型，安全风险大小和出现数据安全问题后造成的影响都存在一定的差异，因此迫切需要开展对数据的分类分级防护，通过识别不同数据的价值，对数据泄露的后果进行评估，以采取不同的技术手段进行防护，可以说数据的分类分级是数据高效安全管理的基础。

2.3 数据主体责任不够清晰

人民银行的金融数据的产生主要来源于两个途径，一是由业务系统产生，如支付系统、账户管理系统等；二是由商业银行填报，如调查统计数据、货币信贷数据等。对于第二类数据来说，人民银行是数据的管理和使用者，但并非数据的拥有者，数据在流转过程中要经历不同的责任主体，但各责任主体相关安全责任边界目前不够清晰，在数据流转过程中对数据完整性保护没有明确的规范和要求。

2.4 对数据的操作行为缺乏管控手段

一是各业务系统建设安全等级参差不齐，缺乏对涉及数据的敏感操作过程的行为控制和预警；二是对外共享的数据缺乏统一规范的申请、审批和发布的流转过程纪录；三是各业务系统建设大部分是由人民银行技术人员和第三方共同建设，在建设过程中第三方容易接触到敏感数据，目前主要采用签订保密协议等常规手段，缺乏有效的技术手段管控。综上，一旦发生数据安全事件，溯源难度较大。

3 人民银行金融数据安全治理体系建设建议

在人民银行数字化转型过程中，网络安全，机房物理安全等传统信息安全防护手段已不能完全满足需求，为此需要从以下几个方面开展金融数据安全体系建设。

3.1 做好数据资产的盘点和数据分类分级工作

由科技部门牵头，各业务部门参与，对各业务系统开展数据资产盘点，明确每一个业务系统数据的数据结构，存储方式，使用人员，使用范围等，形成数据资产目录。数据资产盘点主要运用以下两项技术：

3.1.1 静态梳理技术

通过对端口扫描和特征发现，得到工作区域网段内所有在运行的数据库集合和对应的IP，生成数据库资产清单，然后对各数据库分布地点，业务用途，责任部门进行进一步细化。

3.1.2 动态梳理技术

基于对各种RDBMS、NOSQL、MPP 数据库的通讯协议的流量监控扫描，完成数据的访问状况的梳理，主要获取如下信息：

（1）数据的主要访问IP、用户和终端类型（业务系统、运维工具）；

（2）数据被访问的时间分布，操作类型。

在数据资产目录的基础上进一步开展数据的分类分级工作，针对每个级别的数据制定更加精细的安全措施，避免一刀切的粗放型管理方式，使数据在安全和共享之间获得平衡。

数据安全分类分级工作开展步骤为：一是对数据资产目录由对应的业务部门进行敏感分级，将数据资产划分公开、内部共享、敏感等不同的级别；二是针对不同级别的数据资产制定对应的安全策略。对数据的分级和安全策略可参考表1 和表2 中内容。

表1：人民银行数据安全分级表

表2：数据分级访问权限

3.2 引入基于角色的动态脱敏技术

为了有效解决内部数据对外共享交换的安全问题，需要开展数据脱敏工作。通过敏感信息替换，敏感信息屏蔽等技术手段对不宜公开的信息进行不可逆处理。基于敏感数据的使用场景和使用主体不同，可以结合各业务系统的用户访问权限控制设计基于角色的动态脱敏策略，对不同的数据使用角色和场景采取不同的数据脱敏技术。

经过脱敏后的数据是能够反映实际业务属性的虚拟数据，应满足和源数据相同的业务规则，使数据使用者从体验上体会不出脱敏前后的区别，从而保证利用脱敏数据开展业务数据分析、系统建设测试等工作的正确性。

3.3 完善数据对外分发管控机制

人民银行金融数据在数据有时候需要以文件形式对外共享和发布，数据对外分发共享后随之带来的是数据安全保护责任主体的变化，如果数据接收方在接收到数据后，没有肩负起对数据的安全防护的责任，会带来数据二次扩散的事件，因此需要建立相应的安全机制对于数据分发共享后的安全进行监督和管控。人民银行应该引入数据分发水印技术，对于以文件形式发布到外界的数据预先进行水印处理，将数据接受者相关信息植入水印中，使带水印的数据具备如下特性：

（1）安全性：嵌入在原始数据中的水印是不可除的，且能够提供完整的版权证据。数据水印不会因为数据的某种改动而导致水印信息丢失，能够保持完整性或仍能被准确鉴别。

（2）透明性：在原始数据中嵌入水印标记信息不易被察觉，不影响原数据的可用性

（3）溯源能力：从水印数据中溯源水印标记信息的能力。

（4）低错误率：误判率低，误判分两种，一是数据无水印标记时，却检测到了水印存在；二是加了水印标记信息却没有检测出水印的存在。

如果出现了数据泄露安全事件，通过分析泄露数据样本的水印信息，可以快速追溯泄密源头的单位信息。

3.4 落实数据使用安全审计和预警机制

为了及时发现并处置数据安全异常问题，人民银行金融数据安全保障体系必须具备审计能力。一套完善的审计机制必须是基于敏感数据、策略、数据流转基线等多个维度的集合体，通过数据库协议分析技术对所有访问和使用数据的时间、账号、IP 地址、操作行为、操作对象、操作时长等信息进全纪录实现对数据的生产流转，数据操作的监控、审计、分析，及时发现异常数据流向、异常数据操作行为，并进行告警，输出报告。其主要具备两个价值：

3.4.1 事中告警

一旦出现威胁数据安全的恶意行为时，审计机制应向管理人员发出告警，便于管理人员第一时间阻断威胁，降低损失。因此审计机制需要具备下列技术：

（1）漏洞攻击检测技术：针对CVE 公布的漏洞库，提供漏洞特征检测；

（2）SQL 注入监控技术：提供SQL 注入特征库；

（3）口令攻击监控：针对设定周期内频繁登录失败行为监控；

（4）高危访问监控技术：在设定时间周期内，对不同的访问源制定不同的访问策略；

（5）高危操作控制技术：针对不同访问来源，提供监控其对数据库的高危操作行为，并且根据执行时长、关键字、关联表的数量和错误代码等元素进行限制；

（6）返回行超标监控技术：监控含有敏感数据的表的查询返回行数。

3.4.2 事后溯源

发生信息安全事件之后，可以通过审计机制进行溯源分析，追溯该事件发生的源头，还原事件发生过程，并以此为依据调整相关数据的安全防御策略，对整个数据安全体系建设形成动态调整。

5 未来展望

数据治理是十四五规划中我国治理体系和治理能力现代化的组成部分，而数据安全是数据治理的一个重要环节，数据治理更加强调数据价值的实现，数据安全则强调数据价值实现过程中的安全属性。未来人民银行在开展“数字央行”的建设过程中应将两者应该统筹考虑，同步规划，稳步实施，寻找数据使用和数据安全之间的平衡点，切实保障金融数据资源价值的释放。